Dispositifs de suivi d'objets personnels d'Apple, connu sous le nom d'AirTag, peut être exploité pour diffuser des logiciels malveillants, provoquer un détournement de clic, voler les identifiants et les jetons des utilisateurs, en raison d'une vulnérabilité XSS zero-day.
AirTag est un accessoire iPhone qui offre un moyen privé et sécurisé de localiser facilement les articles, selon Apple.
XSS stocké à zéro jour dans l'AirTag d'Apple
L'exlpoit est possible en raison d'un problème de script inter-sites stocké non corrigé dans la fonction de mode perdu d'AirTag, ce qui pourrait provoquer diverses attaques contre les utilisateurs. Ce type d'attaque, également connu sous le nom de XSS persistant, a lieu lorsqu'un script malveillant est injecté dans une application Web exposée.
La seule condition requise pour exploiter la faille est que l'utilisateur visite une page Web spécialement conçue.
“Le "mode perdu" d'Apple permet à un utilisateur de marquer son Airtag comme manquant s'il l'a égaré.
“Cela génère un unique https://page found.apple.com, qui contient le numéro de série de l'Airtag, et le numéro de téléphone et le message personnel du propriétaire de l'Airtag. Si un utilisateur d'iPhone ou d'Android découvre un Airtag manquant, ils peuvent le scanner (via NFC) avec leur appareil, qui ouvrira l'unique Airtag https://trouvé.apple.com page sur leur appareil,” dit Bobby Rauch, un chercheur indépendant en sécurité, dans un post moyen.
Le cœur du problème est que ces pages n'ont pas de protection pour le XSS stocké, permettre à un attaquant d'injecter du code malveillant dans AirTag via le champ de numéro de téléphone en mode perdu.
Par exemple, l'attaquant peut déployer le code XSS pour rediriger l'utilisateur vers sa fausse page iCloud, chargé avec un keylogger pour capturer les informations d'identification de l'utilisateur.
"Une victime croira qu'on lui demande de se connecter à iCloud pour pouvoir entrer en contact avec le propriétaire de l'AirTag, alors que, l'attaquant les a redirigés vers une page de piratage d'informations d'identification. Depuis la sortie récente des AirTags, la plupart des utilisateurs ignoreraient que l'accès au https://trouvé.apple.com la page ne nécessite aucune authentification,” Rauch a ajouté.
Plus de détails sur les possibles attaques AirTag sont disponibles dans le poste de chercheur.
Plus tôt ce mois-ci, Apple corrigé trois failles zero-day exploitée dans la nature: CVE-2021-30869, CVE-2021-30860, CVE-2021-30858
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: